DE10116703A1 - Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber - Google Patents

Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber

Info

Publication number
DE10116703A1
DE10116703A1 DE10116703A DE10116703A DE10116703A1 DE 10116703 A1 DE10116703 A1 DE 10116703A1 DE 10116703 A DE10116703 A DE 10116703A DE 10116703 A DE10116703 A DE 10116703A DE 10116703 A1 DE10116703 A1 DE 10116703A1
Authority
DE
Germany
Prior art keywords
consumption
message
security module
tariff
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE10116703A
Other languages
English (en)
Inventor
Dieter Pauschinger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Priority to DE10116703A priority Critical patent/DE10116703A1/de
Priority to EP02090093A priority patent/EP1246135A3/de
Priority to US10/090,997 priority patent/US20020184157A1/en
Publication of DE10116703A1 publication Critical patent/DE10116703A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F15/00Coin-freed apparatus with meter-controlled dispensing of liquid, gas or electricity
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00169Communication details outside or between apparatus for sending information from a franking apparatus, e.g. for verifying accounting
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00193Constructional details of apparatus in a franking system
    • G07B2017/00258Electronic hardware aspects, e.g. type of circuits used
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Ein Verbrauchszähler (1) mit Meßwertgeber (104, 105), Anzeigeeinheit (4) mit Sicherheitsmitteln (S1, S2, 18), mit einer Zuführ- und Abgabeeinrichtung (8, 6) und eine Kommunikationseinrichtung (101) wird von einem Sicherheitsgehäuse (10) umschlossen. Der Sicherheitsmodul (100) hat einen nichtflüchtigen Speicher (124, 129) zur Speicherung temporär gültiger Tarife und ist programmiert, eine Abgabegebühr, basierend auf dem Verbrauchswert, tarifabhängig zu berechnen. Ein Verfahren zur Aufzeichnung eines Verbrauchswertes umfaßt eine nichtflüchtige Speicherung von Tarifwerten, Analog/Digital-Wandlung und Verarbeitung der Meßwerte, Liefern und Auswerten von Zeitdaten zur Ermittlung mindestens eines Verbrauchswertes, eine tarifabhängige Ermittlung mindestens einer Abgabegebühr entsprechend des vorgenannten Verbrauchswertes, Bildung einer Nachricht, welche mindestens die Abgabegebühr einschließt, Sichern der Nachricht mittels eines Überprüfungscodes, Aufzeichnung einer Mitteilung (m1), welche die Nachricht und den Überprüfungscode enthält, Kommunikation mit einem entfernten Server (2) zur Übermittlung der kryptographisch gesicherten Nachricht in Form eines ersten Datensatzes (D1).

Description

Die Erfindung betrifft ein Verfahren zur Aufzeichnung eines Verbrauchs­ wertes, gemäß der im Oberbegriff des Anspruchs 1 angegebenen Art und einen Verbrauchszähler mit einem Meßwertgeber, gemäß der im Ober­ begriff des Anspruchs 10 angegebenen Art. Der Verbrauchszähler hat einen Sicherheitsmodul zur Erhöhung der Fälschungssicherheit. Ein solcher kann in Verbrauchszählern und ähnlichen Geräten eingesetzt werden, die in einer potentiell unfreundlichen Umgebung, beispielsweise in Maschinenbaubetrieben, in öffentlichen oder privaten Gebäuden, arbeiten.
Bei der Postbearbeitung, bei welcher ebenfalls eine hohe Fälschungs­ sicherheit gefordert wird, kommen bereits kryptographische Sicherheits­ maßnahmen bei einer Abrechnung von Frankierungen und bei der Erzeugung einer für einen jeden Frankierabdruck einzigartigen Markierung zum Einsatz.
Unter dem Titel: "Methode and arrangement for generating and checking a security imprint" wurde bereits in der US 5.953.426 ein spezielles Secret Key Verfahren vorgeschlagen. Der geheime Schlüssel (Secret Key) wird in einer sicheren Datenbank an der Verifizierungsstelle, typischerweise bei der Postbehörde, aufgehoben und damit geheim gehalten. Aus den Daten einer zu übermittelnden Botschaft wird ein Data Authentication Code (DAC) gebildet, der in eine Markierungssymbolreihe umgesetzt wird, welche dann als sogenannte digitale Unterschrift zur Authentifikations­ prüfung der Botschaft verwendet werden kann. Dabei wird der auch aus der US 3,962,539 bekannte Data Encryption Standard (DES)-Algorithmus angewendet. Letzterer ist der bekannteste symmetrische Kryptoalgorith­ mus. Mit einem symmetrischen Kryptoalgorithmus lassen sich bei Daten des o. g. DAC oder bei Mitteilungen ein Message Authentifications Code (MAC) erzeugen, wobei solche Code zur Authentifikationsprüfung verwen­ det werden. Beim symmetrischen Kryptoalgorithmus steht dem Vorteil eines relativ kurzen MAC's der Nachteil eines einzigen geheimen Schlüssel gegenüber.
Der Vorteil eines asymmetrischen Kryptoalgorithmuses wird durch einen öffentlichen Schlüssel begründet. Ein bekannter asymmetrischer Krypto­ algorithmus, der nach den Namen seiner Erfinder R. Rivest, A. Shamir und L. Adleman benannt und im US 4,405,829 beschrieben wurde, ist der RSA-Algorithmus. Bekanntlich entschlüsselt der Empfänger mit einem privaten geheimen Schlüssel eine verschlüsselte Nachricht, welche beim Sender mit einem öffentlichen Schlüssel verschlüsselt wurde. Der Empfänger hält seinen privaten Schlüssel geheim, aber verschickt den zugehörigen öffentlichen Schlüssel an potentielle Absender. RSA war das erste asymmetrische Verfahren, das sich sowohl zur Schlüssel­ übermittlung als auch auch zur Erstellung digitaler Unterschriften eignete.
Mit dem privaten Schlüssel lassen sich ebenfalls digitale Unterschriften erzeugen, wobei die öffentlichen Schlüssel zur Authentifikation der Signatur dienen. Sowohl RSA, wie auch digitale Signatur-Algorithmen benutzen zwei Schlüssel, wobei einer der beiden Schlüssel öffentlich ist. Der Schlüsseleinsatz erfolgt hierbei in der umgekehrten Reihenfolge. Die Implementation des RSA-Algorithmus in einem Computer ergibt aber eine außerordentlich langsame Abarbeitung und liefert eine lange Signatur.
Es wurde schon ein Digital Signatur Standard (DSS) entwickelt, der eine kürzere digitale Unterschrift liefert und zu dem der Digital Signatur Algorithm (DSA) nach US 5,231,668 gehört. Diese Entwicklung erfolgte ausgehend von der Identifikation und Signatur gemäß dem Schnorr- Patent US 4,995,085 und ausgehend vom Schlüsseltausch nach Diffie- Hellman US 4,200,770 bzw. vom ElGamal-Verfahren (El Gamal, Taher, "A Public Key Cryptosystem and a Signatur Scheme Based on Diskrete Logarithms", 1III Transactions and Information Theory, vol. IT-31, No. 4, Jul. 1985). Beim asymmetrischen Kryptoalgorithmus steht dem Vorteil des Verwendens eines öffentlichen Schlüssels der Nachteil einer relativ langen digitalen Unterschrift gegenüber.
In der US 6.041.704 wurde unter dem Titel: "Methode for operating a digitally printing postage meter to generate and check a security imprint" vorgeschlagen, ein modifiziertes Public Key-Verfahren für eine kürzere Signatur zu verwenden. Jedoch ist nur mit außerordentlich schnellen Prozessoren eine außerordentlich lange andauernde Datenverarbeitung zu vermeiden. Um den geheimen privaten Schlüssel vor einem Diebstahl aus einem Computer oder aus einer Frankiermaschine zu schützen, muß ein Sicherheitsbereich geschaffen werden, denn die gesamte Sicherheit der Signatur beruht darauf, dass der private Schlüssel nicht bekannt wird. Der öffentliche Schlüssel könnte dagegen in einer Vielzahl von Post­ institutionen zur Überprüfung der Signatur verwendet werden. Ein solcher Sicherheitsbereich wird in Geräten durch einen sogenannten Sicherheits­ modul geschaffen. Nachteil ist, dass letzterer eine hohe Rechenleistung aufweisen muß, um in Echtzeit oder in einer vertretbaren Zeitdauer die Datenverarbeitung abzuschließen.
Die Datenverarbeitung einer Hash-Funktion ist dagegen sogar um zwei bis vier Größenordnungen schneller als die Datenverarbeitung der digitalen Signatur oder der asymmetrischen Verschlüsselung. Die Bildung einer Quersumme ist ein sehr einfaches Beispiel für eine Hash-Funktion. Die Bytefolge einer Information wird einerseits zu einen Hashwert komprimiert und andererseits unterscheidet sich der Hashwert von anderen Hash­ werten, die aus anderen Informationen gebildet wurden. Bei den in der Kryptografie genutzten Einweg-Hashfunktionen ist es nahezu unmöglich eine andere Bytefolge zu bilden, die denselben Hashwert ergibt. Die Einweg-Hashfunktionen sollen generell nicht umkehrbar sein. Eine von Ron Rivest im Jahre 1991 entwickelte Einweg-Hashfunktionen MD5 hat einen 128 Bit langen Hashwert soll aber nicht so sicher sein wie MD160 oder SHA (Secure Hash Algorithm). Die beiden letzteren verwenden einen 160-Bit Hashwert. Der SHA wurde vom NIST unter Mitwirkung der NSA entwickelt und im Jahre 1994 publiziert. Der SHA ist Bestandteil des Digital Signatur Algorithm (DAS). Die gesammelten Aufzeichnungen kön­ nen zur Inspektion an eine dritte Stelle versandt bzw. gesendet werden. An jede individuelle Aufzeichnung könnte ein Message Authentication Code (MAC) angehängt werden. Das erfordert eine zentrale Speicherung eines Geheimschlüssels, welcher für jeden Sicherheitsmodul einzigartig ist.
Bei einer Frankiermaschine vom Typ JetMail® wird bereits ein Sicherheits­ modul (EP 1.035.513 A2, EP 1.035.516 A2, EP 1.035.517 A2, EP 1.035.518 A2) eingesetzt, das einen symmetrischen Kryptoalgorithmus nutzt. Eine Schlüsselübertragung zwischen dem Sicherheitsmodul und einer Datenzentrale erfolgt mittels einem DES-verschlüsselten Datensatz, welcher außerdem MAC-gesichert ist. Die kryptographische Berechnung ist aber nur eine der Sicherheitsmaßnahmen bei einer Abrechnung von Dienstleistungen und Berechnung einer Gebühr für die Abgabe der Dienstleistungen sowie bei einer Übermittung des Abrechnungsergebnis­ ses bzw. der Buchung zu einer entfernten Datenzentrale. Ein Sicherheits­ modul muß auch einen physikalischen oder chemischen Angriff über­ stehen. Ein solcher Angriff kann ebenfalls detektiert und aufgezeichnet werden.
Aus der US 4,812,965 ist bereits ein System für ein entfernte Inspektion eines Gerätes bekannt geworden, welche das Erfordernis einer lokalen Inspektion reduziert. Jede Fälschungshandlung wird von dem Gerät aufgezeichnet und zu einer zentralen Station übermittelt. Jedoch schützt diese Lösung nicht gegen solche Angriffe, wie die "Man in the middle Atacke", die gestartet werden, wenn eine Information via Modem zur zentralen Station gesendet wird.
Im EP 504 843 B1 (US 5.243.654) wurde bereits ein Gebührenerfas­ sungssystem mit aus der Ferne rückstellbarer Zeitsperre und mit einem Gerät vorgeschlagen, das zur Abgabe einer verbuchbaren Größe (Energie) ausgestattet ist, wobei der Benutzer eines Gerätes dazu ge­ zwungen ist, dem Datenzentrum regelmäßig den Stand der Abrechnungs­ register mitzuteilen. Nachteilig ist, dass kein Sicherheitsmodul vorhanden ist und dass ein Benutzer eine Kombination in das Gerät eingeben muß.
Als einzige Sicherheitsmaßnahme ist ein Siegel oder eine Plombe am Verbrauchszähler vorgesehen. Bei einer Umgehung dieser Sicherheits­ maßnahme kann die Aufzeichnung des Verbrauchswertes in Fälschungs­ absicht manipuliert werden. Durch solche Manipulationen geht den (Energie-)Versorgungsunternehmen regelmäßig viel Geld verlohren. Während den Großkunden einerseits die Möglichkeit geboten wird, mit günstigen Tarifen legal Geld zu sparen, wird Kleinkunden andererseits kein Anreiz geboten, verbilligte Tarife zu nutzen. Dabei ist offensichtlich nur zu Spitzenzeiten des Verbrauches beispielsweise die Energie teuerer bzw. die Dienstleistung schwieriger zu erbringen, was dann natürlich dem Kunden des Dienstleistungs- oder Versorgungsunternehmens in berech­ tigter Weise in Rechnung gestellt wird.
Es ist Aufgabe, ein Verfahren zur Aufzeichnung eines Verbrauchswertes mit hoher Fälschungssicherheit zu schaffen, welche für den Kunden eine Gebührenabrechnung vereinfacht oder kostensparend durchzuführen gestattet und dass für eine automatische und sichere Kommunikation mit einem entfernten Server des Dienstleistungs- oder Versorgungsunter­ nehmens geeignet ist.
Es ist weiterhin Aufgabe, einen Verbrauchszähler mit einem Meßwert­ geber zu schaffen, wobei feststellt werden kann, wenn am Verbrauchs­ zähler manipuliert wird. Durch eine Vielzahl an unterschiedlichen temporär gültigen Tarifen soll auch dem Kleinkunden gestattet werden, Geld einzu­ paren. Dabei soll der lokale Aufwand möglichst gering sein.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 für das Verfahren bzw. mit den Merkmalen des Anspruchs 10 für den Verbrauchszähler gelöst. Letzterer wird mit einem Sicherheitsmodul ausgestattet.
Ein Verbrauchszähler ist ein Gerät mit Zufuhr und Abgabe von Materie unter Ermittlung einer verbuchbaren Größe. Ein Sicherheitsmodul ist ein Aufzeichnungsmodul für die Buchung oder Abrechnung einer Abgabege­ bühr, welches mit Sicherheitsmitteln ausgestattet ist. Ein Verbrauchs­ zahler, beispielsweise ein Energiezähler, wird mit einem Sicherheitsmodul und mit einem Kommunikationsmittel ausgestattet, wobei letzteres eine automatische und sichere Kommunikation mit einem entfernten Server des Dienstleistungs- oder Versorgungsunternehmens gestattet. Die Ermit­ telung einer verbuchbaren Größe, wie die Energie, erfordert eine Analog/Digital-Umwandlung mindestens einer analogen Meßgröße und eine Berechnung nach einem ersten mathematischen Algorithmus. Der Sicherheitsmodul ist mit einem internen A/D-Wandler und mit einem Mikroprozessor ausgestattet, der zur Berechnung nach dem ersten mathematischen Algorithmus programmiert ist. Die dienstleistungs- bzw. verbrauchswertabhängige Abrechnung einer Abgabegebühr, erfolgt basierend auf einer Echtzeit in temporär unterschiedlicher Weise. So können beispielsweise Tarife für Tag und Nacht, Werktags und Wochen­ ende, Sommer und Winter unterschiedlich sein. Der Sicherheitsmodul ist mit einer internen batterie-versorgten Echtzeituhr und einer Abrechnungs­ einheit, zum Beispiel einer Hardwareabrechnungseinheit, ausgestattet. Nach Abrechnung der Abgabegebühr nach zugehörigen Tarif entspre­ chend der Verbrauchszeitdauer und der aktuellen Zeit erfolgt eine Bildung einer Nachricht zur Aufzeichnung mindestens der Abgabegebühr. Die Auf­ zeichnung kann neben der Abgabegebühr, den Verbrauch, den zugehöri­ gen Tarif, die Verbrauchszeitdauer und die aktuelle Zeit enthalten. Vorzugsweise am Ende jedes Zeitabschnittes der Verbrauchszeitdauer erfolgt die Sicherung der Aufzeichnung durch einen Authentisierungscode. Die Zeitabschnitte werden periodisch und/oder ereignisbasierend gebildet.
Der Sicherheitsmodul ist zur Berechnung des Authentisierungscodes nach einem ersten kryptographischen Algorithmus programmiert. Der Sicher­ heitsmodul ist mit einem Watchdogtimer ausgestattet, der die Kommuni­ kationsmittel regelmäßig für eine Kommunikation mit dem entfernten Server freischaltet. Ein gescheiterter Kommunikationversuch wird in Zeit­ abständen solange wiederholt, bis eine Verbindung zustande kommt oder bis ein Kreditrahmen überschritten ist. In dem letzteren Fall, wird der Verbrauchszähler für die Abgabe der Verbrauchswerte gesperrt. Der Ser­ ver überwacht, ob im erwarteten Zeitrahmen vom Verbrauchszähler des Kunden eine Meldung eingegangen ist und ob letztere authentisch ist. Die Meldung enthält verschlüsselte und zusätzlich mit einer digitalen Signatur gesicherte Daten, welche mittels des Mikroprozessors nach einem zweiten kryptographischen Algorithmus verschlüsselt und nach einem dritten kryptographischen Algorithmus signiert werden. Der Mikroprozessor über­ wacht, ob an dem Verbrauchszähler oder am Sicherheitsmodul manipu­ liert wurde. Beispielsweise ist ein Sensor zur Ermittlung vorgesehen, ob der Verbrauchszähler illegal abgeklemmt oder via Bypass überbrückt wurde. Die Meldung an den Server enthält entsprechend gesicherte Sensordaten. Der Server kann die Abgabe des Verbrauchswertes in Auswertung der übermittelten Daten sperren.
Für die Meldung wird ein asymmetrisches Verschlüsselungsverfahren als zweiter kryptographischer Algorithmus eingesetzt, um einen verschlüssel­ ten Datensatz mit Abgabe- bzw. Verbrauchswerten, Zeitdaten, Sensor­ daten ggf. Schlüsseln u. a. Daten auszutauschen. Geeignet ist beispiels­ weise das RSA-Verfahren, wobei beim Absender ein Datensatz mit einem Public Key des Empfängers verschlüsselt wird. Beim Empfänger erfolgt eine Entschlüssellung des verschlüsselten Datensatzes erfolgt mit dem zugehörigen Privat Key des Empfängers.
Ein digitalen Signatur basierend auf einem dritten kryptographischen Algorithmus erfolgt beispielsweise mit dem umgekehrten RSA-Verfahren, wobei beim Absender ein gehashter Datensatz mit einem Privat key des Absenders verschlüsselt wird und beim Empfänger mit dem zugehörigen Public Key des Absenders entschlüsselt wird. Der auf vorgenannte Weise wiedergewonnene gehashte Datensatz wird mit einem gehashten Vergleichsdatensatz verglichen. Der Vergleichsdatensatz wird beim Em­ pfänger aus dem verschlüsselten Datensatz durch Entschlüsselung und Anwendung der gleichen Hash-Funktion erzeugt. Bei Übereinstimmung des wiedergewonnenen gehashten Datensatzes mit dem gehashten Vergleichsdatensatz gilt die vom Server empfangene Meldung als authentisch und die übermittelten Werte werden gespeichert.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:
Fig. 1, Darstellung eines bekannten RSA-Verfahrens,
Fig. 2, Darstellung eines Signier-Verfahrens unter Anwendung von RSA,
Fig. 3, Darstellung des Schlüsseltausches,
Fig. 4, Darstellung des Systems für eine kryptigraphisch gesicherte Kommunikation,
Fig. 5, Darstellung eines Verbrauchszählers,
Fig. 6, Blockschaltbild eines Energieverbrauchszählers,
Fig. 7, Blockschaltbild eines Sicherheitsmoduls.
In der Fig. 1 wird der Flußplan eines Public Key-Verfahrens am Beispiel von RSA erläutert. Die Anwendung asymmetrischer Verschlüsselungs­ algorithmen (RSA, ElGamal) erfordert die Generierung eines Schlüsselpaares:
(ek, dk) ← genKey(k). (1)
Ein Verschlüsselungsschlüssel ek ist öffentlich und ein Entschlüsselungs­ schlüssel dk ist privat. Der öffentliche Verschlüsselungsschlüssel ek, n wird zum Teilnehmer am Absendeort einer Mitteilung übermittelt. Dabei ist beispielsweise durch einen authentischen Kanal oder ein Zertifikat zu sichern, dass der öffentliche Verschlüsselungsschlüssel nicht zwischen Bestimmungsort und Absendeort ausgetauscht wird und im Rahmen einer "man in the middle attack" mißbraucht wird. Zur Verschlüssellung der Mitteilung m am Absendeort zum Chiffriertext c ist eine mathematische Operation vorgesehen:
c ← encrypt (ek, m) (2)
Bei RSA kommt eine sogenannte modulare Arithmetik bzw. Kongruenz­ rechnung zum Einsatz. Zwei natürliche Zahlen a und c heißen kongruent modulo n, wenn a und c den gleichen Rest bei einer Teilung durch n lassen. Man setzt a = mek und erhält zum Beispiel: c ∼ mek (mod n)
Der Chiffriertext c kann nun über einen ungesicherten Kanal zum Bestimmungsort übermittelt werden. Zur Entschlüssellung des Chiffrier­ textes c ist eine Operation vorgesehen:
m ← decrypt (dk, c) (3)
Der zweite Teilnehmer am Bestimmungsort entschlüsselt mit seinem privaten Entschlüsselungsschlüssel dk den Chiffriertext c zur Mitteilung: m' ∼ cdk (mod n). Letztere stimmt nach den Gesetzen der modularen Arithmetik mit der ursprünglichen Mitteilung m überein, wenn m' und cdk kongruent modulo n. Es gilt somit: m = m'.
In der Fig. 2 wird der Flußplan eines Signier-Verfahrens am Beispiel von RSA erläutert. Die Anwendung digitaler Signaturmechanismen (RSA, DSA oder ECDSA) erfordert ebenfalls die Generierung eines Schlüsselpaares. Zunächst wird ein öffentliche Verifizierschlüssel vk, n zum zweiten Teil­ nehmer am Bestimmungsort übermittelt, beispielsweise über einen authentischen Kanal oder ein Zertifikat gesichert. Ein Signierschlüssel sk verbleibt als privater Schlüssel des Sicherheitsmoduls am Absendeort eines ersten Teilnehmers und der Verifizierschlüssel vk ist als öffentlicher Schlüssel zum Auswerten von digitalen Signaturen sig vorgesehen, die einer Mitteilung m (= message) zugeordnet sind. Die Mitteilung m und die Signatur können nun über einen ungesicherten Kanal zum zweiten Teilnehmer am Bestimmungsort übermittelt werden. Zur Erzeugung einer Signatur sig durch den Sicherheitsmodul am Absendeort eines ersten Teilnehmers ist eine mathematische Operation vorgesehen:
sig ← sign (sk, m) (4)
Zur Verringerung der Länge einer Signatur sig wird zunächst auf die Mitteilung m eine Hash-Funktion angewendet:
h = hash(m) (5)
Zum Signieren am Absendeort eines ersten Teilnehmers kommt ein privater Signierschlüssel sk des Sicherheitsmoduls und beispielsweise wieder die sogenannte modulare Arithmetik bzw. Kongruenzrechnung zum Einsatz:
sig ∼ hsk (mod n) (6)
Zur Verifizierung einer Signatur sig am Bestimmungsort ist ein öffentlicher Verifizierschlüssel vk, die unverschlüsselte Mitteilung m und eine mathematische Operation der Art vorgesehen:
acc ← verify (vk, m, sig). (7)
wobei das Ergebnis wahr (gültig) oder falsch (ungültig) sein kann. Vor der Überprüfung wird auf die Mitteilung m eine Hash-Funktion angewendet:
h = hash(m) (8)
Der zweite Teilnehmer verifiziert am Bestimmungsort mit dem öffentlichen Verifizierschlüsselungsschlüssel vk die Signatur sig zum Hashwert h', welcher nach den Gesetzen der modularen Arithmetik mit dem aus der ursprünglichen Mitteilung m gebildeten Hashwert h übereinstimmt, wenn h' und sigvk kongruent modulo n sind. Es gilt somit:
h = h' ∼ sigvk (mod n) (9)
Für h ≠ h' gilt die Signatur sig oder Mitteilung m als nicht authentisch, aber anderenfalls für h = h' als authentisch.
Es ist vorgesehen, dass jeder Kommunikationsteilnehmer mit einem Sicherheitsmodul bzw. einer Sicherheitsbox ausgestattet wird, welche vor der Kommunikation, in welcher eine Übermittlung von Mitteilungen erfolgt, über einen authentischen Kanal öffentliche Schlüssel austauschen. Das kann vorzugsweise bei Verkäufer oder Händler des Sicherheitsmoduls ge­ schehen oder beim Hersteller.
Anhand der in der Fig. 3 gezeigten Darstellung wird der Schlüsseltausch zwischen einem Sicherheitsmodul und einer Sicherheitsbox näher erläutert. Zunächst wird jeweils in Beiden ein Schlüsselpaar generiert. Das Sicherheitsmodul SM generiert einen öffentlichen Verschlüsselungs­ schlüssel ekSM und einen privaten Entschlüsselungsschlüssel dkSM. Das Sicherheitsmodul SM generiert weiterhin einen öffentlichen Verifizier­ schlüssel vkSM und einen privaten Signierschlüssel skSM. Die Sicherheitsbox BOX generiert einen öffentlichen Verschlüsselungs­ schlüssel ekBOX und einen privaten Entschlüssefungsschlüssel dkBOX. Die Sicherheitsbox BOX generiert weiterhin einen öffentlichen Verifizier­ schlüssel vkBOX und einen privaten Signierschlüssel skBOX. Die öffentlichen Schlüssel werden zum jeweiligen Kommunikationsteilnehmer übermittelt. Von der Sicherheitsbox BOX 200 zum Sicherheitsmodul SM 100 werden der öffentliche Verschlüsselungsschlüssel ekBOX und der öffentliche Verifizierschlüssel vkBOX übermittelt und dort gespeichert. Von dem Sicherheitsmodul SM 100 zur Sicherheitsbox BOX 200 werden der öffentliche Verschlüsselungsschlüssel ekSM und der öffentliche Verifizier­ schlüssel vkSM übermittelt und dort gespeichert.
In der Fig. 4 wird eine Darstellung des Systems für eine kryptigraphisch gesicherte Kommunikation über einen ungesicherten Kanal gezeigt. Der Verbrauchszählers 1 ist mit dem EVU-Server 2 via ISDN, DECT-Telefon, Internet, power line oder ein anderes Netz verbunden. Der Verbrauchs­ zähler 1 hat ein Sicherheitsmodul SM 100, welches zur Ver-/Entschlüssel­ lung einer Mitteilung m mit einem öffentlichen Verschlüsselungsschlüssel ekBOX der Sicherheitsbox BOX 200 ausgestattet ist. Nach einem auf den Gleichungen (2) bzw. (5) basierenden zweiten kryptographischen Algorith­ mus wird erst ein Chiffriertext M1 gebildet und auf die Mitteilung m eine Hash-Funktion angewendet, wobei der Hashwert h1 ← hash(m) entsteht. Nach einem auf den Gleichungen (4) und (5) basierenden dritten kryptographischen Algorithmus wird vom Sicherheitsmodul SM 100 eine Signatur sigSM ← sign[skSM, h1] gebildet. Der Chiffriertext M1 und die digitale Signatur sigSM werden als Datensatz D1 = M1, sigSM zur Sicherheitsbox des EVU-Servers 2 übermittelt. Der EVU-Server 2 entschlüsselt mit seinem privaten Entschlüsselungsschlüssel dkBOX den Chiffriertext M1 zur Mitteilung m1 und überprüft deren Echtheit anhand der Signatur. Der EVU-Server 2 erzeugt eine Mitteilung m2 übermittelt in einem Datzensatz D2 die zum Chiffriertext M2 verschlüsselte Mitteilung an den Sicherheitsmodul. Die Mitteilung m2 kann einen Freischaltcode für den Verbrauchszähler 1 einschließen. Die Mitteilung m1 enthält Ver­ brauchs- und Buchungsdaten bzw. Abgabewerte und Abrechnungswerte, Zeitdaten u. a. Daten. Sie kann vom EVU-Server weiter ausgewertet wer­ den, um eine Abrechnung entsprechend dem gültigen Tarif zu erzeugen. Der zum Sicherheitsmodul SM 100 übermittelte Datensatz D2 enthält ebenfalls einen Chiffriertext M2 und die digitale Signatur sigBOX. Mittels der letzteren wird die Echtheit des Freischaltcodes verifizierbar. Beim Empfan­ gen des kryptographisch gesicherten Freischaltcodes in Form eines zweiten Datesatzes D2 erfolgt eine Aufzeichnung der Änderung durch Rücksetzen der Abgabegebühr auf Null, wenn der Freischaltcode echt war. Andernfalls wird der Verbrauchszähler gesperrt.
Die Fig. 5 zeigt eine Darstellung eines Verbrauchszählers, zum Beispiel eines Strom- bzw. Energiezählers 1. Letzterer ist zwischen ein Stromkabel 8 und ein Hausstromkabel 6 geschaltet und mit einer Anzeigeeinheit 4 für den Energieverbrauch ausgestattet. Ein Sicherheitsgehäuse 10 des Strom- bzw. Energiezählers 1 ist mit einem Sicherheitsschloss 9 ausgestattet. Weitere Besonderheiten sind ein Fenster 7 für eine zusätz­ liche Statusanzeige des Sicherheitsmoduls (nicht sichtbar) und ein optionales Kabel 5 für eine Kommunikationsverbindung mit einem EVU- Server zum Beispiel via ISDN-Telefonnetz.
Die Fig. 6 zeigt ein Blockschaltbild eines Energiezählers 1. Letzterer könnte einen üblichen Haushaltszähler (Induktionszähler für Einphasen­ wechselstrom mit Ferrarismesswerk) ersetzen. Am Sicherheitsmodul könnte zur Detektion einer Manipulation der Schalter S1 angeschlossen werden, der beim Öffnen des Sicherheitsgehäuses 10 ebenfalls geöffnet wird. Die Statusanzeige mittels LED 107, 108 signalisiert ein unbefugtes Öffnen auch nach dem Wiederschliessen des Sicherheitsgehäuses 10. Hardwareseitig ist ein Auslöseschalter 52 für das Zurücksetzen ange­ schlossen. Er wird z. B. bei Schalten des Sicherheitsschlosses 9 in eine zweite Schaltstellung ausgelöst. Ein Zurücksetzen des Status des SM 100 ist nur einem beauftragten Inspektor erlaubt, der einen entsprechenden Schlüssel besitzt und eine Kommunikation mit dem EVU-Server auslöst, um die Inspektion anzumelden bzw. mitzuteilen. Handelsübliche Mess­ wertgeber 104, 105 für Strom- oder Spannungsmessung liefern nach Vollweggleichrichtung ein analoges Mess-Signal i(t), u(t), welches per DA- Wandler 102, 103 in ein digitales Signal gewandelt und dann an die Dateneingänge des Sicherheitsmoduls SM 100 angelegt wird. Die Momentanwerte derjenigen gleichgerichteten Spannung u(t), die beispiels­ weise an einem Lastwiderstand R abfällt oder die sich aufgrund einer magnetischen Induktion für eine Induktivität L bei einem Laststrom i ergibt u(t) = L.di/dt, werden unter Verwendung eines Multiplexers vom Mikro­ prozessor des SM 100 abgetastet, wenn zwei Dateneingänge wechsel­ seitig abgetastet werden müssen. Nach Abtastung der Dateneingänge und einer digitalen Multiplikation der Mess-Signale u(t).i(t) erfolgt eine Aufsummierung für eine jede halbe Periode T/2 des Einphasen­ wechselstromes. Durch diese Momentanwertmultiplikation und zusammen mit einer kumulativen Abspeicherung der Summen der Beträge ergibt sich die wirksame Leistung P im Zeitbereich Δt = x.T. Die jeweiligen Momentanwerte werden in einem nichtflüchtigen Speicher addiert und das abgespeicherte Ergebnis oder ein Momentanwert können angezeigt wer­ den. Entsprechende Datenausgänge des Sicherheitsmoduls SM 100 sind für die Anzeigeeinheit 4 vorgesehen. Es sei t1 der Beginn und t2 das Ende des Zeitbereiches Δt1 = t2 - t1, der eine Vielzahl x von Perioden T einschließt, wobei ein erster Tarif für die Abrechnung einer Abgabegebühr F1 gültig ist. Weiterhin sei t3 der Beginn und t4 das Ende eines zweiten Zeitbereiches Δt2 = t4 - t3, der ebenfalls eine Vielzahl x von Perioden T einschließt, wobei ein zweiter Tarif für die Abrechnung einer Abgabe­ gebühr F2 gültig ist. Bei einem Ereignis, wie Tarif- oder Lastwechsel, erfolgt durch den Mikroprozessor eine Berechnung der Abgabegebühr nach dem zugehörigen Tarif entsprechend der Verbrauchszeitdauer und eine Speicherung in separaten Speicherbereichen der nichtflüchtigen Speicher zusammen mit dem jeweils zugehörigen aktuellen Verbrauchs­ wert VK. Eine weitere Abspeicherung von Nutzdaten kann erfolgen, um das Benutzerverhalten zu ermitteln bzw. um Marketingdaten abzuleiten.
Vom Sicherheitsmodul wird ein Ereignis VK zum Zeitpunkt tj festgestellt, welches mindestens als Echtzeitnachricht aufgezeichnet werden muß. Hinzukommen weitere Daten, beispielsweise eine tarifabhängige Abgabe­ gebühr. Solche Datenelemente sind zum Beispiel:
#K: Sequenzzähler ("13"),
R: Typbezeichner der Nachricht ("R" für Realtime),
V1K: Verbrauchs- und Nutzdaten ("Tages-Verbrauch, Mr. Pauschinger"),
F1K: Abgabegebühr nach erstem Tarif ("Tages-Verbrauchsgebühr"),
V2K: Verbrauchs- und Nutzdaten ("Nacht-Verbrauch, Mr. Pauschinger"),
F2K: Abgabegebühr nach zweitem Tarif ("Nacht-Verbrauchsgebühr"),
tj: aktueller Echtzeitwert (dezimalisiert: "8491028108032001") mit fester Länge,
AK: Authentisierungscode (dezimalisiert: "8023024892048398"), i. e. Unterschrift, typischerweise mit fester Länge,
Im ersten Schritt vor der ersten kryptographischen Operation erfolgt eine Zusammenstellung einer "Real-time"-Nachricht V1K, F1K, V2K, F2K, tj mit weiteren Daten #K, R, zum Bilden eines Datensatzes:
INPUT = #K, R, V1K, F1K, V2K, F2K, tj (10)
zum Beispiel sei #K = 13 für eine 13. Aufzeichnung:
INPUT = "13RTages-Verbrauch,Mr.PauschingerTages-Verbrauchsgebühr Nacht-Verbrauch,Mr.PauschingerNacht-Verbrauchsgebühr 8491028108032001
Im zweiten Schritt erfolgt aus INPUT durch Bildung des Hashwertes eine Berechnung des Authentisierungscodes AK.
AK ← hash(INPUT) (11)
Zum Beispiel:
AK = "8023024892048398".
Im dritten Schritt erfolgt ein Anfügen des resultierenden Authenti­ sierungscodes AK an die Echtzeitnachricht. Zum Zeitpunkt tj lautet die Mitteilung m1 mit der zu speichenden Nachricht also:
m1 = #K, R, V1K, F1K, V2K, F2K, tj, AK mit K = 13 (12)
Ein Aufzeichnen umfaßt ein Speichern von Echtzeit- und Gebührendaten. Periodisch erfolgt ein Übertragen eines Datensatzes D1 vom Sicherheits­ modul am Absendeort zu einer Sicherheitsbox eines EVU-Servers am Bestimmungsort.
Zur Vorbereitung der Erzeugung einer digitalen Signatur wird die Mitteilung m1 gehasht:
h1 ← hash(m1) (13)
In dem Sicherheitsmodul 100 liegen ein öffentlicher Verschlüsselungs­ schlüssel ekBOX der Box und ein privater Signierschlüssel skSM des Sicherheitsmoduls 100 nichtflüchtig eingespeichert vor. Durch ein im internen Programmspeicher gespeichertes Programm ist der Mikropro­ zessor des Sicherheitsmoduls 100 programmiert, als Authentifikations­ maschine zu arbeiten. Die digitalen Signatur wird mit dem Signier­ schlüssel skSM des Sicherheitsmoduls SM 100 gebildet:
sigSM ← sign[skSM, h1] (14)
Zur Vorbereitung der Übermittelung der Nachricht an den Server 2 verschlüsselt der Mikroprozessor des Sicherheitsmoduls SM 100 die Mitteilung m1 mit dem Verschlüsselungschlüssel ekBOX der Sicherheitsbox zum Chiffriertext M1:
M1 ← encrypt[ekBOX, m1] (15)
Der zu übermittelnde Datensatz D1 lautet:
D1 = M1, sigSM (16)
Jeder Verbrauchszähler 1 enthält eine Kommunikationseinheit 101 für eine Kommunikation mit dem Server 2, der eine vergleichbare Kommuni­ kationseinheit (nicht gezeigt) aufweist. In der Sicherheitsbox 200 des Ser­ vers 2 liegen ein privater Entschlüsselungsschlüssel dkBOX der Box und ein öffentlicher Verifizierschlüssel vkSM des Sicherheitsmoduls 100 nicht­ flüchtig eingespeichert vor. Durch ein im internen Programmspeicher gespeichertes Programm ist der Mikroprozessor der Sicherheitsbox 200 programmiert, als Verifikationsmaschine zu arbeiten. Der Server 2 arbeitet angepaßt an die jeweilige Art und Weise der Erzeugung der Aufzeich­ nung. Wonach der durch den Server 2 aus dem Sicherheitsmodul 100 abgerufene Aufzeichnungsstrom analysiert wird, hängt von der ent­ sprechenden Anwendung ab.
Die Fig. 5 und 6 zeigen ein am Verbrauchszähler 1 angeschlossenes ISDN-Kabel 5. Es ist für ein Ausführungsbeispiel vorgesehen, dass die Kommunikationseinrichtung 101 ein Modem vorzugsweise ein ISDN- Modul ist, welches über ein Telefon-/ISDN-Netz mit dem Server 2 kommunikativ verbunden ist. Bei Kommunikation des Verbrauchszählers 1 mit dem EVU-Server 2 direkt via ISDN-Netz kann eine entsprechende Kommunikationseinheit 101 aus dem Telefon-/ISDN-Netz oder über eine Leitung 106 vom Netzteil oder vom Hausstromkabel 6 mit Energie versorgt werden.
Alternativ ist es möglich, einen vorhandenen Digital-Powerline-Dienst des Enegieversorgungsunternehmens (EVU) zu nutzen. Die Kommunikations­ einrichtung 101 ist nun ein Power-line-Modul, der über ein Enegierversor­ gungsnetz mit dem Server 2 kommunikativ verbunden ist. Der Power-line- Modul ist entsprechend ausgebildet eine Nachricht mit Übertragungsraten bis zu 1 Mbit/s über eine Leitung 106 via Stromkabel 8 zum EVU-Server 2 zu übertragen. Dabei werden die vorhandenen Stromversorgungskabel als physikalisches Trägermedium für ein Kommunikationsnetzwerk ge­ nutzt. Dabei entfällt natürlich das o. g. ISDN-Kabel 5.
Eine weitere Alternative zur Vermeidung von Kabelverbindungen bietet ein 2,4 GHz Bluetooth-Funkempfänger/Sender-Baustein, der als Kommunika­ tionseinrichtung 101 eingesetzt wird. Es ist vorgesehen, dass die Kommu­ nikationseinrichtung 101 im Sicherheitsmodul 100 integriert ist. Ein Blue- Tooth-Modul, der drahlos über einen weiteren Blue-Tooth-Modul mit dem Server 2 kommunikativ verbunden werden soll, kann aber nur über relativ kurze Entfernungen ca. 10 m mit einem gleichen Bluetooth-Baustein kommunizieren, so dass letzterer doch wieder an ein ISDN-Endgerät angeschlossen ist. Somit ist der weitere Blue-Tooth-Modul wieder über ein Telefonnetz mit dem Server 2 kommunikativ verbunden. Zum Beispiel wird wieder das ISDN-Netz genutzt.
Das Sicherheitsmodul SM 100 kann über das Hausstromkabel 6 oder das Stromkabel 8 aus dem Energienetz mit Energie versorgt werden. Dazu ist ein Netzteil N 109 erforderlich, welches vorzugsweise so angeschlossen ist, daß der Stromkunde die Kosten trägt. Der Masseanschluß an Pin P23 erhält zum Beispiel das negative und der Betriebsspannungsanschluß an Pin P25 das positive Spannungspotential. Ein Elektrolytkondensator C puffert die Betriebsspannung. An den Anschlüssen P1, P2 liegt eine Leiterschleife, die sich über das gesamte Sicherheitsgehäuse erstreckt und beim Zerstören des Sicherheitsgehäuses 10 unterbrochen wird. Es ist vorgesehen, dass der Verbrauchszähler 1 ein Sicherheitsgehäuse 10 aufweist, welches den Sicherheitsmodul 100, eine Anzeigeeinheit 4 eine Zuführ- und Abgabeeinrichtung 8, 6 und eine Kommunikationseinrichtung 101 umschließt. Der Sicherheitsmodul 100 ist mit mindestens einem Meßwertgeber 104, 105, mit der Anzeigeeinheit 4 zur Anzeige eines Verbrauchswertes sowie mit Sicherheitsmitteln S1, S2, 18 verbunden. Der Sicherheitsmodul 100 weist einen nichtflüchtigen Speicher 124, 129 zur Speicherung temporär gültiger Tarife auf und ist programmiert, eine Abgabegebühr basierend auf dem Verbrauchswert tarifabhängig zu berechnen und auf ein Ansprechen der Sicherheitsmittel S1, S2, 18 sowie auf Werte der Meßwertgeber 104, 105 zu reagieren, welche eine Manipulation in Fälschungsabsicht signalisieren. Das Sicherheitsmodul enthält intern eine Lithium-Batterie 134 zur Datenerhaltung der nicht­ flüchtig gespeicherten Daten, um eine Notversorgung bei Energieausfall zu ermöglichen. Bei den nichtflüchtig gespeicherten Daten wird zusätzlich zur kumulierten Leistung auch die Zeit gespeichert, so daß eine Abtren­ nung vom Energieversorgungsnetz nachträglich unterschieden werden kann vom Spannungsausfall im Energieversorgungsnetz. Das Sicherheits­ modul SM 100 schaltet bei fehlender Systemspannung einfach auf Notversorgung via Batterie 134 um.
Der Sicherheitsmodul 100 nimmt die Funktion eines Spannungswächters wahr, um zu überprüfen, ob der Zähler abgeklemmt wurde oder nicht. Der Verbrauchszähler 1 hat mindestens einen Analog/Digital-Wandler 102, 103, der mit dem mindestens einen Meßwertgeber 104, 105 verbunden ist. Alternativ hat der Sicherheitsmodul 100 einen Analog/Digital-Wandler 127 integriert, der mit den Meßwertgebern 104, 105 verbunden ist. Der Sicherheitsmodul 100 weist einen Echtzeitzähler 122 auf und der Sicherheitsmodul 100 nimmt die Funktion eines Watch dog Timers wahr, um regelmäßig Zählerstände an einen Server 2 zu übermitteln. Dadurch dass das Sicherheitsmodul 100 einen Echtzeitzähler 122 aufweist, kann der Mikroprozessor des Sicherheitsmoduls 100 auf den temporär gültigen Tarif zugreifen, der im nichtflüchtigen Speicher gespeichert ist. Der Mikroprozessor des Sicherheitsmoduls 100 ist programmiert, eine Abgabegebühr basierend auf dem Verbrauchswert tarifabhängig zu berechnen.
Die Fig. 7 zeigt ein Blockschaltbild eines verbesserten Sicherheits­ moduls SM 100. Beim unberechtigten Öffen des Sicherheitsgehäuses und /oder entfernen des Sicherheitsmoduls 100 wird der Schalter S1 betätigt und eine Detektionseinheit 13 speichert das Ereignis nichtflüchtig. Bei einer Beschädigung des Sicherheitsgehäuses 10, beispielsweise durch Bohren in das Sicherheitsgehäuse, wird eine an die Pins P1 und P2 angeschlossenen Leiterschleife 18 geöffnet, über welche im geschlos­ senen Zustand zeitlich zuordenbare Impulse übermittelt werden. Der Mikroprozessor empfängt die gesendeten Impulse zwecks Auswertung der Detektionsdaten hinsichtlich einer Beschädigung bzw. Manipulation am Sicherheitsgehäuse 10. Ein ordnungsgemäßes Öffnen/Schließen des Sicherheitsgehäuses 10 wird mittels Auslöseschalter S2 detektiert. Die Schalter S1, S2 und die Leiterschleife 18 liegen an Ein/Ausgängen eines Ein/Ausgangsinterfaces 125 des Mikroprozessors 120.
Als geeigneter Mikroprozessor µP 120 eignet sich der Typ S3C44A0X von Firma Samsung vor. Letzterer weist zusätzlich Analogeingänge für Analogwerte u(t), i(t), einen internen Multiplexer (nicht gezeigt) und einen internen AD-Wandler 127 auf, so dass separate AD-Wandler entfallen können. An den Analogeingängen werden 4 Leitungen für die Analog­ werte u(t), i(t) angeschlossen. Außerdem wird mittels integriertem LCD- Controller (nicht gezeigt) eine am Ein/Ausgangsinterface 125 angeschlos­ sene externe LCD-Anzeige 4 unterstützt. Am Ein-/Ausgangsinterface 125 sind externe Leuchtdioden 107, 108 zur Zustandsanzeige angeschlossen. Der Status des Sicherheitsmoduls 100 kann vorteilhaft über eine Bicolor- Leuchtdiode anstelle der Leuchtdioden 107, 108 signalisiert werden. Eine Statusmeldung kann weitere Datenelemente umfassen, zum Beispiel:
  • - Detektionsdaten einer Manipulation am Gehäuse,
  • - Detektionsdaten einer Manipulation am Sicherheitsmodul,
  • - Versionsnummer und Gültigkeitsdatum der Tarife,
  • - Spitzenlast und Uhrzeit der Spitzenbelastung,
  • - Nächster Kommunikationstermin usw.
Mit den 60-bit general purpose I/O ports stehen genügend Ein/Ausgänge am Mikroprozessor 120 zur Verfügung, um eine Kommunikationseinheit 101 und weitere E/A-Mittel direkt anzuschliessen. Vorteilhaft wird jedoch eine Anpassungslogig in Form des ASIC 150 und der programmierbaren Logik 160 zwischen Mikroprozessor 120 und Kommunikationseinheit 101 geschaltet. Die Kommunikationseinheit 101 kann in das Sicherheitsmodul SM 100 integriert und ggf. als ASIC ausgeführt werden. Hierzu eignet sich die moderne digitale Kommunikationtechnik, zum Beispiel ein Bluetooth- Modul. Letzterer gibt eine Sendeleistungen von ca. 1 mW über eine kurze Antenne 51 ab. Die integrierte Echtzeituhr (Real Time Counter) 122 des Mikroprozessors 120 übernimmt neben den oben beschriebenen Sicher­ heitsfunktionen auch die Taktung der Kommunikation. Die Sicherheits­ module 100 der Verbrauchszähler unterschiedlicher Kunden können an unterschiedlichen Tagen zur Kommunikation programmiert sein, so dass nicht alle gleichzeitig beim Server anrufen.
Der EVU-Server 2 übermittelt ggf. neue aktuelle Tarife, einschließlich Versionsnummer und Gültigkeitsdatum der Tarife, zwecks Speicherung im Sicherheitsmodul. Der Mikroprozessor hat hierzu ein internes RAM 124, welches batteriegestützt ist. Wenn letzteres nicht ausreicht, wird ein wei­ teres batteriegestütztes SRAM 129 in den Sicherheitsmodul integriert und arbeitet zusätzlich zum RAM 124 des Mikroprozessors 120, zwecks nicht­ flüchtiger Speicherung von Tarifwerten, die in vorbestimmten Zeitberei­ chen gültig sind. Die integrierte Echtzeituhr 122 liefert Echtzeitdaten. Der Mikroprozessor 120 übernimmt die Auswertung von Zeitdaten zur tarifab­ hängigen Ermittlung mindestens eines Verbrauchswertes. Bei vorbe­ stimmten Ereignissen greift eine CPU 121 des Mikroprozessors 120 auf den temporär gültigen Tarif im SRAM 129 zu, wobei letzteres die Daten für die Abgabegebühr einer als ASIC 150 ausgebildeten Datenverarbeit­ ungseinheit übergibt. Die Abrechnung erfolgt via ASIC 150 in den nicht­ flüchtigen Speichern NVRAM 114, 116. Für beide NVRAMs werden aus Sicherheitsgründen zwei unterschiedliche Speichertechnologien einge­ setzt. In ereignis- und zeitbestimmten Zeitabständen erfolgt zur Abrech­ nung eine Bildung einer Nachricht, welche den Verbrauchswert, die Ab­ gabegebühr und die Zeitdaten einschließt, eine Bildung eines Über­ prüfungscodes und Sichern der Nachricht mittels des Überprüfungscodes. Der Überpüfungscode wird von der CPU des Mikroprozessors 120 berech­ net. Der ASIV 150 nimmt eine Bildung und Aufzeichnung einer Mitteilung m1 vor, welche die Nachricht und den Überprüfungscode enthält. In einer andereren Variante können Aufgaben des ASIC's vom Mikroprozessor 120 übernommen werden. Es ist vorgesehen, dass die Sicherung der Aufzeichnung des Verbrauchs vorzugsweise am Ende jedes Zeitabschnit­ tes der Verbrauchszeitdauer erfolgt, wobei die Zeitabschnitte periodisch und/oder ereignisbasierend gebildet werden. Ein Eeignis ist beispielswei­ se ein Tarif- oder Lastwechsel.
In größeren Zeitabständen führt der Mikroprozessor 120 eine kryptogra­ phisch Sicherung einer Nachricht und eine Kommunikation mit einem entfernten Server 2 durch, zur Übermittlung der kryptographisch gesicher­ ten Nachricht in Form eines ersten Datensatzes D1. Die Sicherheitsbox 200 des Servers 2 verrifiziert und entschlüsselt die Nachricht. Nur wenn eine Verifizierung die Echtheit der Nachricht ergibt, wird vom Server 2 ein Freischaltcode erzeugt. Die Sicherheitsbox 200 des Servers 2 kann den Freischaltcode durch Verschlüsseln und Signieren sichern. Der Sicher­ heitsmodul 100 des Verbrauchszählers 1 kann die Echtheit des Freischalt­ codes anhand der Signatur des Servers 2 verifizieren. Es ist vorgesehen, dass beim Empfangen des kryptographisch gesicherten Freischaltcodes eine Aufzeichnung der Änderung der Abgabegebühr durch Rücksetzen auf Null erfolgt, wenn der Freischaltcode echt war sowie dass Sperren der Abgabe einer verbuchbaren Größe bzw. des Verbrauches eines Ver­ brauchswertes vorgenommen wird, wenn der Freischaltcode unecht ist.
Ein Verbrauch an festen, flüssigen oder gasförmigen Größen erfordert speziell angepaßte Zähler, die in erfindungsgemäßer Weise ebenfalls mit dem Sicherheitsmodul ausgestattet werden. In einem weiteren Einsatzfall ist der Verbrauchszähler eine Frankiermaschine. Die verbuchbare Größe ist dann der Frankierwert. Weitere Ausführungen zu weiteren Baugruppen des Sicherheitsmoduls sind den Veröffentlichungen EP 1.035.513 A2, EP 1.035.516 A2, EP 1.035.517 A2, EP 1.035.518 A2, DE 200 20 635 U1 zu entnehmen. Die Auswertung der Überwachungsfunktionen und krypto­ graphischen Berechnungen erfolgen im Mikroprozessor. Der erste krypto­ graphische Algorithmus für die Erzeugung des Authentisierungscodes für Aufzeichnungsdaten ist beispielsweise eine Hashfunktion. Natürlich kann anstelle des Authentisierungscodes auch eine Checksumme oder ein nach einem symmetrischen Verschlüsselungsalgorithmus gebildeter MAC eingesetzt werden. Natürlich kann auch die Abrechnungsfunktion des ASIC's 150 vom Mikroprozessor 120 übernommen oder überprüft werden.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen der Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen Grundgedanken der Erfindung ausgehend - von den anliegenden Schutzansprüchen umfaßt werden.

Claims (20)

1. Verfahren zur Aufzeichnung eines Verbrauchswertes, der in Aus­ wertung von Meßwerten ermittelt wird, umfassend die Schritte:
  • - nichtflüchtige Speicherung von Tarifwerten, die in vorbestimmten Zeit­ bereichen gültig sind,
  • - Analog/Digital-Wandlung der Meßwerte und deren Verarbeitung nach einem ersten mathematischen Algorithmus,
  • - Liefern und Auswerten von Zeitdaten zur zeitabhängigen Ermittlung mindestens eines Verbrauchswertes,
  • - tarifabhängige Ermittlung mindestens einer Abgabegebühr entspre­ chend des vorgenannten Verbrauchswertes,
  • - Bildung einer Nachricht, welche mindestens die Abgabegebühr ein­ schließt,
  • - Bildung eines Überprüfungscodes und Sichern der Nachricht mittels des Überprüfungscodes,
  • - Bildung und Aufzeichnung einer Mitteilung (m1), welche die Nachricht und den Überprüfungscode enthält,
  • - Aufnahme einer Kommunikation mit einem entfernten Server (2), zur Übermittlung der kryptographisch gesicherten Nachricht in Form eines ersten Datensatzes (D1).
2. Verfahren, nach Anspruch 1, gekennzeichnet durch Wiederholung der Aufnahme einer Kommunikation mit einem entfernten Server 2, zur Übermittlung der kryptographisch gesicherten Nachricht in Form eines ersten Datensatzes D1, und bei erfolgloser Wiederholung solange, bis ein Kreditrahmen überschritten ist, sowie Empfangen eines, nach dem Überprüfen der Echtheit des ersten Datensatzes (D1) vom Server übermittelten, kryptographisch gesicherten Freischaltcodes in Form eines zweiten Datensatzes (D2), Überprüfen der Echtheit des Freischaltcodes anhand der Signatur des Servers (2) und Aufzeichnung des Ereignisses.
3. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass die gebildete Nachricht den Verbrauchswert, die Abgabegebühr und Zeitdaten einschließt, dass die Sicherung der Nachricht und die Aufzeichnung des Verbrauchs vorzugsweise am Ende jedes Zeitabschnittes der Verbrauchs­ zeitdauer erfolgt, wobei die Zeitabschnitte periodisch und/oder ereignis­ basierend gebildet werden.
4. Verfahren, nach Anspruch 2, dadurch gekennzeichnet, dass beim Empfangen des kryptographisch gesicherten Freischaltcodes eine Aufzeichnung der Änderung der Abgabegebühr durch Rücksetzen auf Null erfolgt, wenn der Freischaltcode echt war sowie dass ein Sperren der Abgabe einer verbuchbaren Größe bzw. des Verbrauches eines Ver­ brauchswertes vorgenommen wird, wenn der Freischaltcode unecht ist.
5. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass bei einem Ereignis eine Berechnung der Abgabegebühr nach dem zugehörigen Tarif entsprechend der Verbrauchszeitdauer und bei einer Aufzeichnung eine Speicherung der Abgabegebühr zusammen mit dem jeweils zugehörigen aktuellen Verbrauchswert VK erfolgt.
6. Verfahren, nach Anspruch 5, dadurch gekennzeichnet, dass das Ereignis ein Tarif- oder Lastwechsel ist.
7. Verfahren, nach Anspruch 3, dadurch gekennzeichnet, dass bei der Aufzeichnung eine weitere Abspeicherung von Nutzdaten erfolgt, um das Benutzerverhalten zu ermitteln bzw. um Marketingdaten abzuleiten.
8. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass der Überprüfungscode ein Authentisierungscode ist.
9. Verfahren, nach Anspruch 8, dadurch gekennzeichnet, dass der Authentisierungscode ein Hashcode oder ein nach einem symmetri­ schen Verschlüsselungsalgorithmus gebildeter MAC ist.
10. Verbrauchszähler, mit einem Meßwertgeber, dadurch gekenn­ zeichnet, dass der Verbrauchszähler (1) ein Sicherheitsgehäuse (10) aufweist, welches einen Sicherheitsmodul (100), eine Zuführ- und Abgabeeinrichtung (8, 6) und eine Kommunikationseinrichtung (101) umschließt, wobei der Sicherheitsmodul (100) mit mindestens einem Meßwertgeber (104, 105) sowie mit Sicherheitsmitteln (S1, S2, 18) verbunden ist, dass der Sicherheitsmodul (100) einen nichtflüchtigen Speicher (124, 129) zur Speicherung temporär gültiger Tarife aufweist und programmiert ist, eine Abgabegebühr basierend auf dem Verbrauchswert tarifabhängig zu berechnen und auf ein Ansprechen der Sicherheitsmittel (S1, S2, 18) sowie auf Werte der Meßwertgeber (104, 105) zu reagieren, welche eine Manipulation in Fälschungsabsicht signalisieren.
11. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich­ net, dass der Verbrauchszähler (1) mindestens einen Analog/Digital- Wandler (102, 103) aufweist, der mit dem mindestens einen Meß­ wertgeber (104, 105) verbunden ist und dass der Sicherheitsmodul (100) eine Überwachungsfunktion aufweist, um zu überprüfen, ob der Zähler abgeklemmt wurde oder nicht.
12. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich­ net, dass das Sicherheitsmodul (100) einen Analog/Digital-Wandler (127) aufweist, der mit den Meßwertgebern (104, 105) verbunden ist und dass der Sicherheitsmodul (100) eine Überwachungsfunktion aufweist, um zu überprüfen, ob der Zähler abgeklemmt wurde oder nicht.
13. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich­ net, dass das Sicherheitsmodul (100) einen Echtzeitzähler (122) aufweist und dass der Sicherheitsmodul (100) die Funktion eines Watch dog Timers aufweist, um regelmäßig Zählerstände an einen Server (2) zu übermitteln.
14. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich­ net, dass das Sicherheitsmodul (100) einen Echtzeitzähler (122) aufweist und dass ein Mikroprozessor (120) des Sicherheitsmoduls (100) auf den temporär gültigen Tarif zugreift, der im nichtflüchtigen Speicher (124, 129) gespeichert ist und programmiert ist, eine Abgabegebühr basierend auf dem Verbrauchswert tarifabhängig zu berechnen.
15. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich­ net, dass die Kommunikationseinrichtung (101) ein ISDN-Modul ist, der über ein Telefonnetz mit dem Server (2) kommunikativ verbunden ist.
16. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich­ net, dass die Kommunikationseinrichtung (101) ein Power-line-Modul ist, der über ein Enegierversorgungsnetz mit dem Server (2) kommunikativ verbunden ist.
17. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich­ net, dass die Kommunikationseinrichtung (101) ein Blue-Tooth-Modul ist, der drahlos über einen weiteren Blue-Tooth-Modul mit dem Server (2) kommunikativ verbunden ist.
18. Verbrauchszähler, nach Anspruch 17, dadurch gekennzeich­ net, dass der Blue-Tooth-Modul drahlos mit einem weiteren Blue-Tooth- Modul verbunden ist, wobei letzterer über ein Telefonnetz mit dem Server (2) kommunikativ verbunden ist.
19. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich­ net, dass die Kommunikationseinrichtung (101) im Sicherheitsmodul (100) integriert ist.
20. Verbrauchszähler, nach den Ansprüchen 10 bis 19, dadurch ge­ kennzeichnet, dass der Verbrauchszähler (1) eine Frankiermaschine ist.
DE10116703A 2001-03-29 2001-03-29 Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber Ceased DE10116703A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE10116703A DE10116703A1 (de) 2001-03-29 2001-03-29 Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber
EP02090093A EP1246135A3 (de) 2001-03-29 2002-03-01 Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Messwert
US10/090,997 US20020184157A1 (en) 2001-03-29 2002-03-05 Method and apparatus for registering a usage value of commodity

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10116703A DE10116703A1 (de) 2001-03-29 2001-03-29 Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber

Publications (1)

Publication Number Publication Date
DE10116703A1 true DE10116703A1 (de) 2002-10-10

Family

ID=7680305

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10116703A Ceased DE10116703A1 (de) 2001-03-29 2001-03-29 Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber

Country Status (3)

Country Link
US (1) US20020184157A1 (de)
EP (1) EP1246135A3 (de)
DE (1) DE10116703A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009049434A1 (de) * 2009-10-14 2011-04-21 ITF Fröschl GmbH Messwertgeber sowie System
DE102012203034A1 (de) * 2012-02-28 2013-08-29 Bundesdruckerei Gmbh Verfahren zur Personalisierung einer Smart Meter Vorrichtung mit einem Sicherheitsmodul
DE102012203518A1 (de) * 2012-03-06 2013-09-12 Bundesdruckerei Gmbh Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7590848B2 (en) * 2002-02-07 2009-09-15 Blackhawk Network System and method for authentication and fail-safe transmission of safety messages
GB2481579B (en) 2010-06-25 2014-11-26 Enmodus Ltd Monitoring of power-consumption
US10044402B2 (en) 2010-06-25 2018-08-07 Enmodus Limited Timing synchronization for wired communications
GB2485136B (en) * 2010-09-24 2015-03-18 Sse Plc Data transmission method and system
CH713130B1 (de) * 2016-11-24 2021-03-15 Landis & Gyr Ag Schaltvorrichtung und Gerät für Verbrauchsmessungen mit einer solchen Schaltvorrichtung.
CN108802463A (zh) * 2018-04-18 2018-11-13 怀化建南电子科技有限公司 一种用于远程充电装置的直流电能表

Citations (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3962539A (en) * 1975-02-24 1976-06-08 International Business Machines Corporation Product block cipher system for data security
US4200770A (en) * 1977-09-06 1980-04-29 Stanford University Cryptographic apparatus and method
DE3123530A1 (de) * 1981-06-13 1982-12-30 Karl Dipl.-Phys. 4600 Dortmund Winter "verfahren und vorrichtung zur herstellung und verdichtung eines inertgases"
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
DE3640448A1 (de) * 1985-11-27 1987-07-09 Triad Communications Inc Verbrauchszaehler
US4689478A (en) * 1984-12-24 1987-08-25 Ncr Corporation System for handling transactions including a portable personal terminal
US4812965A (en) * 1985-08-06 1989-03-14 Pitney Bowes Inc. Remote postage meter insepction system
US4995085A (en) * 1987-10-15 1991-02-19 Siemens Aktiengesellschaft Hearing aid adaptable for telephone listening
US5231668A (en) * 1991-07-26 1993-07-27 The United States Of America, As Represented By The Secretary Of Commerce Digital signature algorithm
US5243654A (en) * 1991-03-18 1993-09-07 Pitney Bowes Inc. Metering system with remotely resettable time lockout
DE3703387C2 (de) * 1986-02-06 1993-09-23 Minol Messtechnik W. Lehmann Gmbh & Co, 70771 Leinfelden-Echterdingen, De
DE4409803A1 (de) * 1993-03-22 1994-09-29 Kundo Systemtechnik Gmbh Anlage zur zentralen Erfassung von Energieverbrauchskosten
DE4243092C2 (de) * 1992-12-18 1996-03-14 Ludwig Kreuzpaintner Stromverteilersystem
EP0884569A1 (de) * 1997-06-13 1998-12-16 Bernina Electronic AG Verfahren und Gerätschaft zur Verbrauchsermittlung
DE19754675A1 (de) * 1997-12-10 1999-07-01 Klaus Dipl Ing Weber Einrichtung zum kundenseitigen Erfassen und Abrechnen des Haushaltsverbrauchs von Versorgungsgütern
US5953426A (en) * 1997-02-11 1999-09-14 Francotyp-Postalia Ag & Co. Method and arrangement for generating and checking a security imprint
US6041704A (en) * 1997-10-29 2000-03-28 Francotyp-Postalia Ag & Co. Method for operating a digitally printing postage meter to generate and check a security imprint
EP1035513A2 (de) * 1999-03-12 2000-09-13 Francotyp-Postalia Aktiengesellschaft & Co. Sicherheitsmodul mit Statussignalisierung
EP1035517A2 (de) * 1999-03-12 2000-09-13 Francotyp-Postalia Aktiengesellschaft & Co. Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
EP1035516A2 (de) * 1999-03-12 2000-09-13 Francotyp-Postalia AG & Co. Anordnung für ein Sicherheitsmodul
EP1035518A2 (de) * 1999-03-12 2000-09-13 Francotyp-Postalia Aktiengesellschaft & Co. Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9210857D0 (en) * 1992-05-21 1992-07-08 Siemens Measurement Limited Improvements in or relating to commodity supply meters
GB2313201A (en) * 1996-05-15 1997-11-19 Gen Electric Co Plc Isolation bypass detector for a commodity supply line
US6453327B1 (en) * 1996-06-10 2002-09-17 Sun Microsystems, Inc. Method and apparatus for identifying and discarding junk electronic mail
GB2341934B (en) * 1997-06-03 2001-07-18 Total Metering Ltd Improvements relating to metering systems
EP0960394B1 (de) * 1997-06-13 2006-11-08 Pitney Bowes Inc. System und verfahren zum steuern einer zum drucken erforderlichen daten verwendeten frankierung
US6019281A (en) * 1997-12-22 2000-02-01 Micro General Corp. Postal security device with display
US6133850A (en) * 1998-03-16 2000-10-17 Motorola, Inc. Method and apparatus for reducing channel capacity required to report a billable consumption of a utility commodity
US6529883B1 (en) * 1999-08-20 2003-03-04 Motorola, Inc. Prepayment energy metering system with two-way smart card communications

Patent Citations (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3962539A (en) * 1975-02-24 1976-06-08 International Business Machines Corporation Product block cipher system for data security
US4200770A (en) * 1977-09-06 1980-04-29 Stanford University Cryptographic apparatus and method
US4405829A (en) * 1977-12-14 1983-09-20 Massachusetts Institute Of Technology Cryptographic communications system and method
DE3123530A1 (de) * 1981-06-13 1982-12-30 Karl Dipl.-Phys. 4600 Dortmund Winter "verfahren und vorrichtung zur herstellung und verdichtung eines inertgases"
US4689478A (en) * 1984-12-24 1987-08-25 Ncr Corporation System for handling transactions including a portable personal terminal
US4812965A (en) * 1985-08-06 1989-03-14 Pitney Bowes Inc. Remote postage meter insepction system
DE3640448A1 (de) * 1985-11-27 1987-07-09 Triad Communications Inc Verbrauchszaehler
DE3703387C2 (de) * 1986-02-06 1993-09-23 Minol Messtechnik W. Lehmann Gmbh & Co, 70771 Leinfelden-Echterdingen, De
US4995085A (en) * 1987-10-15 1991-02-19 Siemens Aktiengesellschaft Hearing aid adaptable for telephone listening
US5243654A (en) * 1991-03-18 1993-09-07 Pitney Bowes Inc. Metering system with remotely resettable time lockout
EP0504843B1 (de) * 1991-03-18 1997-05-07 Pitney Bowes Inc. Gebührenerfassungssystem mit aus der Ferne rückstellbarer Zeitsperre
US5231668A (en) * 1991-07-26 1993-07-27 The United States Of America, As Represented By The Secretary Of Commerce Digital signature algorithm
DE4243092C2 (de) * 1992-12-18 1996-03-14 Ludwig Kreuzpaintner Stromverteilersystem
DE4409803A1 (de) * 1993-03-22 1994-09-29 Kundo Systemtechnik Gmbh Anlage zur zentralen Erfassung von Energieverbrauchskosten
US5953426A (en) * 1997-02-11 1999-09-14 Francotyp-Postalia Ag & Co. Method and arrangement for generating and checking a security imprint
EP0884569A1 (de) * 1997-06-13 1998-12-16 Bernina Electronic AG Verfahren und Gerätschaft zur Verbrauchsermittlung
US6041704A (en) * 1997-10-29 2000-03-28 Francotyp-Postalia Ag & Co. Method for operating a digitally printing postage meter to generate and check a security imprint
DE19754675A1 (de) * 1997-12-10 1999-07-01 Klaus Dipl Ing Weber Einrichtung zum kundenseitigen Erfassen und Abrechnen des Haushaltsverbrauchs von Versorgungsgütern
EP1035513A2 (de) * 1999-03-12 2000-09-13 Francotyp-Postalia Aktiengesellschaft & Co. Sicherheitsmodul mit Statussignalisierung
EP1035517A2 (de) * 1999-03-12 2000-09-13 Francotyp-Postalia Aktiengesellschaft & Co. Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
EP1035516A2 (de) * 1999-03-12 2000-09-13 Francotyp-Postalia AG & Co. Anordnung für ein Sicherheitsmodul
EP1035518A2 (de) * 1999-03-12 2000-09-13 Francotyp-Postalia Aktiengesellschaft & Co. Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009049434A1 (de) * 2009-10-14 2011-04-21 ITF Fröschl GmbH Messwertgeber sowie System
DE102012203034A1 (de) * 2012-02-28 2013-08-29 Bundesdruckerei Gmbh Verfahren zur Personalisierung einer Smart Meter Vorrichtung mit einem Sicherheitsmodul
DE102012203518A1 (de) * 2012-03-06 2013-09-12 Bundesdruckerei Gmbh Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers
DE102012203518B4 (de) * 2012-03-06 2021-06-17 Bundesdruckerei Gmbh Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers

Also Published As

Publication number Publication date
EP1246135A2 (de) 2002-10-02
EP1246135A3 (de) 2004-01-07
US20020184157A1 (en) 2002-12-05

Similar Documents

Publication Publication Date Title
EP2755846B1 (de) Verfahren und vorrichtung zur zuordnung eines von einer ladestation erfassten messwertes zu einer transaktion
EP2531368B1 (de) Verfahren und vorrichtung zur zuordnung eines von einer ladestation erfassten messwertes zu einem nutzer
EP1469429B1 (de) Verfahren zum sicheren elektronischen wählen und kryptographische protokolle und computerprogramme dafür
DE69737083T2 (de) Verfahren und Vorrichtung zur Prüfung von Daten
DE69434621T2 (de) Postgebührensystem mit nachprüfbarer Unversehrtheit
EP1098471A2 (de) Kryptographische Vorrichtung und Verfahren mit verringerter Empfindlichkeit gegenüber einem Seitenkanalangriff
CN109274498A (zh) 一种基于联盟链的智能电网数据聚合及监控方法
EP1278332B1 (de) Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul
DE3303846A1 (de) Verfahren zum "einschreiben" elektronischer post in einem elektronischen kommunikationssystem und anordnung zur durchfuehrung des verfahrens
IL139605A (en) A method for transmitting and storing an electrical value and power meter for storing a value that uses (the same method) it
EP0969421A2 (de) Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
EP0795979A2 (de) Verfahren und Anordnung zum Nachweis des Zeitpunktes der Durchführung eines kryptographischen Prozesses
DE10116703A1 (de) Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber
WO2012123135A1 (de) Ladestation für elektrofahrzeuge, system und verfahren zum betreiben einer ladestation
AU2011268753A1 (en) Electronic voting apparatus and method
EP2445746B1 (de) Sicherung der abrechnung von über eine ladestation bezogener energie
EP1107190A1 (de) Frankierverfahren und -vorrichtung
EP1150256B1 (de) Verfahren zur sicheren Distribution von Sicherheitsmodulen
EP1619630A2 (de) Verfahren und Anordnung zum Erstatten von Porto
JP2006527512A (ja) デジタル料金納付注記の正当性証明の方法およびその実行のための装置
DE60015907T2 (de) Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet
DE102012008519A1 (de) Sicherung eines Energiemengenzählers gegen unbefugten Zugriff
DE60031470T2 (de) Verfahren zur Zertifikation von öffentlichen Schlüsseln, die zum Signieren von Postwertzeichen verwendet werden und derart signierte Postzeichen
GB2211643A (en) Authentication of a plurality of documents
EP2439902A2 (de) Verfahren und Anordnung zum rechtsverbindlichen Senden und Empfangen von vertraulichen elektronischen Mitteilungen

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8127 New person/name/address of the applicant

Owner name: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE

8110 Request for examination paragraph 44
R084 Declaration of willingness to licence

Effective date: 20130124

R081 Change of applicant/patentee

Owner name: FRANCOTYP-POSTALIA GMBH, DE

Free format text: FORMER OWNER: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE

Effective date: 20150330

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final